Hakovan Dropbox Sign, hakeri ukrali informacije o korisnicima

Vesti, 07.05.2024, 08:30 AM

Početkom meseca, Dropbox je objavio rezultate istrage o hakovanju svoje infrastrukture, ne precizirajući kada se incident zaista dogodio. Napad su primetili zaposleni u kompaniji 24. aprila.

Nepoznati napadači su uspeli da kompromituju nalog Dropbox Sign usluge e-potpisa i tako dobiju pristup internom mehanizmu automatske konfiguracije platforme. Koristeći ovaj pristup, hakeri su mogli da se dočepaju baze podataka koja sadrži informacije o korisnicima Dropbox Signa.

Ukradeni su sledeći podaci registrovanih korisnika Signa: korisnička imena, email adrese, brojevi telefona, lozinke (heširane), opšta podešavanja naloga i određene informacije o autentifikaciji (ključevi za autentifikaciju za Dropbox Sign API, OAuth tokeni za autentifikaciju, SMS i aplikacijski tokeni za dvofaktornu autentifikaciju). Napad je otkrio i email adrese i imena ljudi koji su samo primali ili potpisivali dokumente preko Dropbox Signa ali nikada nisu registrovali nalog. Lozinke korisnika koji su koristili opciju „sign up with…” su bezbedne.

Dropbox tvrdi da nije pronašao tragove neovlašćenog pristupa sadržaju korisničkih naloga, odnosno dokumentima i ugovorima, kao i informacijama o plaćanju.

Dropbox je resetovao lozinke za sve Dropbox Sign naloge i prekinuo sve aktivne sesije, tako da korisnici moraju ponovo da se prijave i postave novu lozinku.

Dropbox Sign, ranije poznat kao HelloSign, je Dropboxov alat za dokumente u oblaku, koji se prvenstveno koristi za potpisivanje elektronskih dokumenata. Najbliži analozi ove usluge su DocuSign i Adobe Sign.

Kako je kompanija naglasila u svojoj izjavi, infrastruktura Dropbox Signa je „u velikoj meri odvojena od drugih Dropbox usluga“. Sudeći po rezultatima istrage, hakovanje Dropbox Signa je bio izolovan incident i nije uticao na druge Dropbox proizvode. Ovo važi i za one korisnike čiji je Sign nalog povezan sa njihovim glavnim Dropbox nalogom.

Šta treba da uradite ako vam je Dropbox Sign hakovan? Dropbox je već resetovao lozinke za sve Dropbox Sign naloge. Dakle, u svakom slučaju ćete morati da promenite lozinku. Trebalo bi koristiti potpuno novu lozinku umesto malo izmenjene verzije stare. Najbolje rešenje je generisati lozinku pomoću menadžera lozinki.

Pošto su tokeni za dvofaktorsku autentifikaciju takođe ukradeni, trebalo bi i njih resetovati. Za one koji koriste SMS 2FA, resetovanje je automatsko. Oni koji koriste aplikaciju, moraće to sami da urade.

Među podacima koje su ukrali hakeri su i ključevi za autentifikaciju za Dropbox Sign API. Dakle, ako je vaša kompanija koristila ovaj alat preko API-ja, morate da generišete novi ključ.

Takođe, ako ste koristili istu lozinku na bilo kom drugom mestu, trebalo bi da je promenite što pre, posebno ako ste koristili isto korisničko ime, email adresu ili telefonski broj koji ste naveli i prilikom registracije Dropbox Sign naloga.